Suomi.fitä testataan hakkerivoimin: löydetyistä haavoittuvuuksista maksettu hakkereille yhteensä 5100 euroa

Väestörekisterikeskuksen helmikuussa 2018 aloittamassa bug bounty- eli haavoittuvuuspalkinto-ohjelmassa on löydetty ensimmäiset tietoturvahaavoittuvuudet. Palkkioita on tähän mennessä maksettu 14:tä löydöksestä, yhteensä 5100 euroa. Suurin maksettu yksittäinen palkkio oli arvoltaan 2000 euroa.

Havaitut haavoittuvuudet ovat koskeneet Suomi.fi-verkkopalvelua, Suomi.fi-tunnistusta ja Suomi.fi-valtuuksia. Väestörekisterikeskus on analysoinut ja korjannut havaitut haavoittuvuudet välittömästi. 

Suurimpaan palkkioon oikeuttaneen haavoittuvuuden löysi Jarmo Puttonen (@putsi). Puttonen on suomalainen valkohattuhakkeri, joka on osallistunut useisiin palkkionmetsästysohjelmiin sekä Suomessa että ulkomailla. Hän kuuluu myös Team ROT:iin, jonka jäsenet tekevät tietoturva-alan tutkimusta sekä järjestävät tietoturvatempauksia kuten vuonna 2017 julkisuudessa näkynyt #kuntahaaste.

"Valkohattuhakkerien käyttäminen bug bountyissä luo erinomaisen asetelman missä sekä hakkerit että yritykset hyötyvät yhteistyöstä. Hakkereille tämä on kanava käyttää ja kehittää taitojaan laillisesti sekä auttaa yrityksiä ja yhteiskuntaa samanaikaisesti ansaitsemalla palkkioita työstään. Yritykset taas saavat arvokasta tietoa järjestelmiensä tietoturvan tasosta joka mahdollistaa entistä paremmin huolehtimaan sekä yrityksen että sen asiakkaiden turvallisuudesta. Löytämälläni haavoittuvuudella rikollinen olisi voinut manipuloida käyttäjää niin, että hän luulee tunnistautuvansa viralliseen valtion tarjoamaan palveluun, mutta hän kuitenkin päätyy rikollisen hallitsemalle huijaussivustolle”, kertoo Jarmo Puttonen.

Väestörekisterikeskuksen tietoturvapäällikkö Pekka Ristimäki on tyytyväinen yhteistyöhön hakkereiden kanssa.

”Tähänastiset kokemukset ohjelmasta ovat olleet hyviä, Bug Bounty on mielenkiintoinen luova tapa toteuttaa tietoturvatestausta ja  hyvä lisä normaaliin testaukseemme. Olemme saaneet myös parannettua omia prosessejamme löydösten pohjalta. Väestörekisterikeskus kehittää Suomi.fi-palveluja jatkuvasti. On tärkeä testata palvelua ja etsiä jatkuvasti mahdollisia haavoittuvuuksia, jotta ne voidaan korjata mahdollisimman varhaisessa vaiheessa”, Ristimäki sanoo. Hän kannustaakin hakkereita ilmoittautumaan mukaan palkkio-ohjelmaan ja jatkamaan testausta.

Suomi.fi on verkkopalvelu, josta löytyvät julkiset palvelut ja tietoa eri tilanteisiin. Suomi.fi tarjoaa julkisen hallinnon asiakkaille pääsyn omiin tietoihin sekä sähköisiin viesteihin ja valtuuksiin helposti yhdestä paikasta. Voit asioida viranomaisten kanssa silloin, kun sinulle sopii – sujuvasti ja turvallisesti. Verkkopalvelu on tarkoitettu kansalaisille, yrityksille ja yhteisöille sekä viranomaisille. Suomi.fin kehittämisestä vastaa Väestörekisterikeskus.

Väestörekisterikeskuksen julkaisema bug bounty on kutsuohjelma, johon hakkerit voivat hakea halutessaan mukaan hackr.fi-sivuilta. Ohjelma kutsuu ammatti- ja harrastelijahakkereita mukaan tekemään tietoturvatutkimusta ohjelman kohteena oleviin palveluihin. Ohjelmat ovat yhteisöllistä haavoittuvuuksien tietoturvatestaamista, jossa ulkopuolisille testaajille (”hakkereille”) annetaan mahdollisuus testata organisaatioiden internetpalveluja sovittujen periaatteiden ja rajoitusten puitteissa.

Väestörekisterikeskuksen ohjelma on käynnissä 12.8.2018 saakka.

Lisätietoja

Väestörekisterikeskus, Tietoturvapäällikkö Pekka Ristimäki, p. 0295 535 048, etunimi.sukunimi[at]vrk.fi